MMRat Mobile kenkėjiška programa

Besiformuojanti „Android“ bankininkystės kenkėjiška programa, pavadinta MMRat, naudoja neįprastą komunikacijos techniką, vadinamą „protobuf“ duomenų serializavimu. Šis metodas padidina kenkėjiškos programos efektyvumą išimant informaciją iš pažeistų įrenginių.

2023 m. birželį kibernetinio saugumo ekspertų atrastas MMRat visų pirma skirtas naudotojams, esantiems Pietryčių Azijoje. Nors tikslus kenkėjiškų programų išplitimo potencialioms aukoms metodas lieka nežinomas, mokslininkai nustatė, kad MMRat plinta per svetaines, kurios prisistato teisėtomis programėlių parduotuvėmis.

Apgaulingas programas, kuriose yra MMRat kenkėjiška programa, atsisiunčia ir įdiegia nieko neįtariančios aukos. Dažnai šios programos apsimetinėja vyriausybės programomis ar pažinčių platformomis. Vėliau diegimo metu programos prašo gauti esminius leidimus, įskaitant prieigą prie „Android“ pritaikymo neįgaliesiems paslaugos.

Pasinaudodama pritaikymo neįgaliesiems funkcija, kenkėjiška programa automatiškai užsitikrina sau papildomus leidimus. Tai leidžia MMRat pažeistame įrenginyje atlikti daugybę kenksmingų veiksmų.

MMRat leidžia kibernetiniams nusikaltėliams kontroliuoti daugybę įrenginio funkcijų

Kai MMRat gauna prieigą prie „Android“ įrenginio, jis užmezga ryšį su C2 serveriu ir stebi įrenginio veiklą neveiklumo periodais. Per šiuos intervalus užpuolikai naudojasi pritaikymo neįgaliesiems paslauga, kad nuotoliniu būdu pažadintų įrenginį, jį atrakintų ir realiuoju laiku įvykdytų banko sukčiavimą.

Pagrindinės MMRat funkcijos apima tinklo, ekrano ir baterijos duomenų rinkimą, naudotojų kontaktų ir programų sąrašų išfiltravimą, vartotojo įvesties fiksavimą naudojant klavišų registravimą, realiojo laiko ekrano turinio gavimą per MediaProjection API, kameros duomenų įrašymą ir tiesioginį srautinį perdavimą, ekrano duomenų išrašymą tekste. formą į C2 serverį ir galiausiai pašalina save, kad ištrintų infekcijos pėdsakus.

Efektyvus MMRat duomenų perdavimas yra gyvybiškai svarbus norint užfiksuoti ekrano turinį realiuoju laiku ir išgauti tekstinius duomenis iš „vartotojo terminalo būsenos“. Siekdami užtikrinti veiksmingą banko sukčiavimą, kenkėjiškos programos autoriai sukūrė tinkintą Protobuf protokolą duomenų išfiltravimui.

MMRat naudoja neįprastą komunikacijos techniką, kad pasiektų užpuoliko serverį

MMRat naudoja atskirą komandų ir valdymo (C2) serverio protokolą, naudojantį vadinamuosius protokolo buferius (Protobuf), kad palengvintų supaprastintą duomenų perdavimą – tai retenybė Android Trojos arklių srityje. „Google“ sukurta „Protobuf“ duomenų serializavimo technika veikia panašiai kaip XML ir JSON, tačiau gali pasigirti mažesniu ir greitesniu pėdsaku.

MMRat naudoja įvairius prievadus ir protokolus savo sąveikai su C2. Tai apima HTTP 8080 prievade duomenų išfiltravimui, RTSP ir 8554 prievadą vaizdo transliacijai ir personalizuotą Protobuf įgyvendinimą 8887 prievade komandoms ir valdymui.

C&C protokolo unikalumas slypi tame, kad jis pritaikytas naudoti „Netty“, tinklo taikomųjų programų sistemą ir anksčiau minėtą „Protobuf“. Tai taip pat apima gerai struktūrizuotus pranešimus. C&C komunikacijos metu grėsmės veikėjas taiko išsamią struktūrą, kad įkūnytų visus pranešimų tipus, ir raktinį žodį „vienas iš“, kad būtų nurodytos skirtingos duomenų kategorijos.

Be Protobuf efektyvumo, tinkintų protokolų naudojimas padeda išvengti tinklo saugos priemonių, kurios paprastai nustato atpažįstamus jau žinomų grėsmių modelius. Dėl Protobuf universalumo MMRat kūrėjai turi laisvę apibrėžti savo pranešimų struktūras ir reguliuoti duomenų perdavimo būdus. Tuo tarpu jo sistemingas dizainas garantuoja, kad išsiųsti duomenys atitinka iš anksto nustatytą dizainą, sumažinant sugadinimo tikimybę juos gavus.

MMRat mobilioji grėsmė demonstruoja besikeičiantį Android bankininkystės Trojos arklių sudėtingumą, kai kibernetiniai nusikaltėliai puikiai derina diskretiškas operacijas su veiksmingomis duomenų gavimo technikomis.